JP2018121099A - 認証システム、認証方法及びプログラム - Google Patents

認証システム、認証方法及びプログラム Download PDF

Info

Publication number
JP2018121099A
JP2018121099A JP2017009150A JP2017009150A JP2018121099A JP 2018121099 A JP2018121099 A JP 2018121099A JP 2017009150 A JP2017009150 A JP 2017009150A JP 2017009150 A JP2017009150 A JP 2017009150A JP 2018121099 A JP2018121099 A JP 2018121099A
Authority
JP
Japan
Prior art keywords
terminal
authentication request
authentication
information
sms
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017009150A
Other languages
English (en)
Other versions
JP6259536B1 (ja
Inventor
義博 冨田
Yoshihiro Tomita
義博 冨田
磨悟 齋藤
Kiyosato Saito
磨悟 齋藤
有香 成宮
Yuka Narumiya
有香 成宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Emtg Co Ltd
Original Assignee
Emtg Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Emtg Co Ltd filed Critical Emtg Co Ltd
Priority to JP2017009150A priority Critical patent/JP6259536B1/ja
Application granted granted Critical
Publication of JP6259536B1 publication Critical patent/JP6259536B1/ja
Publication of JP2018121099A publication Critical patent/JP2018121099A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】携帯端末OSのAPIを介して電話番号を取得することなく、アプリケーションサイドで電話番号を用いて当該電話番号に紐付く携帯端末を認証することが可能な認証システムを提供する。【解決手段】サーバ装置100は、携帯端末のアプリから当該携帯端末に固有な端末固有情報を含む認証要求を受信して認証要求ログを生成する認証要求受信部130と、ゲートウェイ装置から認証情報を受信して端末固有情報を取得するSMS情報受信部150と、認証情報に含まれるSMS発信元電話番号が記憶部に存在するか否か、及び認証情報に含まれる端末固有情報に関する認証要求ログが存在するか否かを判定する真正性判定部であって、SMS発信元電話番号が記憶部に存在し、認証情報に含まれる端末固有情報に関する認証要求ログが存在する場合、端末固有情報を、記憶部の電話番号に紐付けて格納する真正性判定部160とを備える。【選択図】図2

Description

本発明は、認証システム、認証方法及びプログラムに関する。
近年、スマートフォン等の携帯端末が急速に普及している。携帯端末に搭載されるアプリケーション(以下、アプリとも呼ぶ。)において、携帯端末の電話番号を用いる場合、アプリを提供する企業は、不正利用を防ぐために真正なユーザから提供された電話番号であることを確認する必要がある。
一方、iPhone(登録商標)では、個人情報保護の観点から、現在、アプリがiOSのAPIを介して電話番号を取得することはできない仕様となっている。そのため、アプリが電話番号を取得するために、ユーザに電話番号を入力させる方法が現在多く採られている。しかしながら、単に電話番号を入力させるだけでは、入力された電話番号と、携帯端末の実際の電話番号とが同一であることを保証できないため、不正ユーザによる利用を防ぐことができない。そこでSMS(ショートメッセージサービス)認証等を用いてセキュリティを強化する対策が行われている(例えば、特許文献1参照)。
また、近年、興行イベントのチケットとして電子チケットが利用されるようになっている。例えば、特許文献2には、ユーザが携帯端末により管理サーバにアクセスしてチケットの購入を希望すると、管理サーバからユーザの携帯端末に電子チケットが送信される技術が開示されている。
特開2013−145533号公報 特開2012−073890号公報
人気のある興行イベントのチケットは、悪徳業者が意図的に買い占めて高額で販売するダフ屋行為の標的となっている。例えば、既存のSMS認証を用いて、(1)ユーザにアプリ上で電話番号を入力させ、(2)アプリ提供企業が、入力された電話番号に認証コードを含むSMSメッセージを送信し、(3)ユーザに認証コードをアプリ上で入力させることによってユーザを認証する場合、不正に電話番号を取得した第三者からの不正利用を防ぐことはきる。
しかしながら、(2)で認証コードを取得したユーザ自身から直接、認証コードを取得した第三者は、電話番号に紐付いた携帯電話を保有していないにも関わらず、認証を受けることができてしまう。例えば前述のチケットの例では、人気のある興行イベントのチケットの予約購入に成功した悪徳業者が認証コードを第三者に開示することにより、第三者の携帯端末において認証が成立してしまう。
そこで、本発明は、携帯端末OSのAPIを介して電話番号を取得することなく、アプリケーションサイドで電話番号を用いて当該電話番号に紐付く携帯端末を認証することが可能な認証システム、認証方法及びプログラムを提供することを目的とする。
本発明の一態様に係るゲートウェイ装置及び携帯端末と通信可能に接続されるサーバ装置は、携帯端末の電話番号を記憶する記憶部と、携帯端末のアプリケーションから当該携帯端末に固有な端末固有情報を含む認証要求を受信して、端末固有情報に基づいて認証要求ログを生成する認証要求受信部と、携帯端末からゲートウェイ装置に送信されたSMSメッセージに含まれる認証情報をゲートウェイ装置から受信して、受信した認証情報から端末固有情報を取得するSMS情報受信部であって、認証情報は、端末固有情報及びSMS発信元電話番号を含む、SMS情報受信部と、SMS発信元電話番号が記憶部に存在するか否かを判定する第1の判定と、認証情報に含まれる端末固有情報に関する認証要求ログが存在するか否かを判定する第2の判定とを実行する真正性判定部であって、SMS発信元電話番号が記憶部に存在し、認証情報に含まれる端末固有情報に関する認証要求ログが存在する場合、端末固有情報を、記憶部の電話番号に紐付けて格納する、真正性判定部とを備える。
この態様によれば、携帯端末OSのAPIを介して電話番号を取得することなく、アプリケーションサイドで電話番号を用いて当該電話番号に紐付く携帯端末を認証することができる。SMS発信元電話番号が記憶部に存在するか否かを判定する第1の判定により、ゲートウェイ装置にSMSメッセージを送信した携帯端末が、記憶部により管理される電話番号に紐付く携帯端末であることが確認できる。また、認証情報に含まれる端末固有情報に関する認証要求ログが存在するか否かを判定する第2の判定により、ゲートウェイ装置に送信されたSMSメッセージが、当該メッセージに含まれる端末固有情報を生成した携帯端末からのものであることが確認できる。
上記サーバ装置において、真正性判定部は、SMS発信元電話番号が記憶部に存在しない場合、認証情報に含まれる端末固有情報に関する認証要求ログを削除してもよい。
この態様によれば、記憶部により管理される電話番号に紐付かない携帯端末からの認証要求に由来する認証要求ログを削除することで、より強固な認証システムを構築することができる。
上記サーバ装置において、SMS発信元電話番号が記憶部に存在し、認証情報に含まれる端末固有情報に関する認証要求ログが存在する場合、携帯端末においてアプリケーションを起動すると共に、アプリケーションに端末固有情報を用いた処理を実行可能とさせるためのURLスキームを生成して、当該URLスキームを含むSMSメッセージを、SMS発信元電話番号に送信する認証応答部をさらに備えてもよい。
この態様によれば、アプリケーションに端末固有情報を用いた処理を実行可能とさせるためのURLスキームを生成することで、サーバ装置において電話番号と紐付けられた端末固有情報を用いた処理を確実に遂行することができ、より強固な認証システムを構築することができる。
上記サーバ装置において、URLスキームは、アプリケーションに、SMSメッセージで特定される端末固有情報と、アプリケーションが認証要求送信時に生成した端末固有情報とが一致するか否か判定する処理を実行可能とさせてもよい。
この態様によれば、URLスキームを用いて、SMSメッセージに含まれる端末固有情報と、アプリケーションが認証要求送信時に生成した端末固有情報とが一致することを確認することにより、認証が成功した携帯端末上でのみ、URLスキームで指定した所定の処理を実行することができ、より強固な認証システムを構築することができる。
上記サーバ装置において、認証要求の受信から一定の期間を経過した認証要求ログを削除する認証要求ログ管理部をさらに備えてもよい。
この態様によれば、認証要求の受信から一定の期間を経過した認証要求ログについては無効であるとして削除することで、より強固な認証システムを構築することができる。
本発明の他の態様に係る方法は、ゲートウェイ装置及び携帯端末と通信可能に接続される1又は複数のコンピュータが、携帯端末の電話番号を記憶部に記憶する工程と、携帯端末のアプリケーションから当該携帯端末に固有な端末固有情報を含む認証要求を受信して、端末固有情報に基づいて認証要求ログを生成する工程と、携帯端末からゲートウェイ装置に送信されたSMSメッセージに含まれる認証情報をゲートウェイ装置から受信して、受信した認証情報から端末固有情報を取得する工程であって、認証情報は、端末固有情報及びSMS発信元電話番号を含む、工程と、SMS発信元電話番号が記憶部に存在するか否かを判定する工程と、認証情報に含まれる端末固有情報に関する認証要求ログが存在するか否かを判定する工程と、SMS発信元電話番号が記憶部に存在し、認証情報に含まれる端末固有情報に関する認証要求ログが存在する場合、端末固有情報を、記憶部の電話番号に紐付けて格納する工程とを含む。
本発明の他の態様に係るプログラムは、サーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末に、当該携帯端末に固有な端末固有情報を生成する工程と、SMSメッセージをゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動する工程と、端末固有情報を本文に含むSMSメッセージを生成する工程と、SMSアプリケーションが所定の条件下でSMSメッセージを送信した場合、端末固有情報を含む認証要求をサーバ装置に送信する工程とを実行させる。
上記プログラムにおいて、携帯端末に、端末固有情報を含むURLスキームが選択されることに応答して、当該プログラムを起動する工程と、URLスキームに含まれる端末固有情報を用いた処理を実行する工程とをさらに実行させてもよい。
本発明の他の態様に係る方法は、サーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末が、当該携帯端末に固有な端末固有情報を生成する工程と、SMSメッセージをゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動する工程と、端末固有情報を本文に含むSMSメッセージを生成する工程と、SMSアプリケーションが所定の条件下でSMSメッセージを送信した場合、端末固有情報を含む認証要求をサーバ装置に送信する工程とを含む。
本発明の他の態様に係るサーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末は、当該携帯端末に固有な端末固有情報を生成して、当該端末固有情報を含む認証要求をサーバ装置に送信する認証要求送信部であって、SMSメッセージをゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動して、端末固有情報を本文に含むSMSメッセージを生成し、SMSアプリケーションが所定の条件下でSMSメッセージを送信した場合、認証要求をサーバ装置に送信する認証要求送信部を備える。
なお、本発明において、「部」や「手段」、「装置」、「システム」とは、単に物理的手段を意味するものではなく、その「部」や「手段」、「装置」、「システム」が有する機能をソフトウェアによって実現する場合も含む。また、1つの「部」や「手段」、「装置」、「システム」が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の「部」や「手段」、「装置」、「システム」の機能が1つの物理的手段や装置により実現されても良い。
本発明によれば、携帯端末OSのAPIを介して電話番号を取得することなく、アプリケーションサイドで電話番号を用いて当該電話番号に紐付く携帯端末を認証することが可能な認証システム、認証方法及びプログラムを提供することができる。
実施形態に係る認証システムの構成例を示す図である。 実施形態に係るサーバ装置の機能構成の具体例を示す図である。 実施形態に係るチケットアプリの機能構成の具体例を示す図である。 実施形態に係るサーバ装置のチケット購入要求処理の流れの具体例を示すフローチャートである。 実施形態に係る認証システムのチケット受取処理の流れの具体例を示すシーケンス図である。 実施形態に係る認証システムのチケット受取処理の流れの具体例を示すシーケンス図である。 実施形態に係る認証システムのチケット受取処理の流れの具体例を示すシーケンス図である。 実施形態に係るサーバ装置の認証処理の流れの具体例を示すフローチャートである。 実施形態に係るサーバ装置のハードウェア構成の具体例を示す図である。 実施形態に係る携帯端末のハードウェア構成の具体例を示す図である。
添付図面を参照して、本発明の好適な実施形態について説明する。なお、各図において、同一の符号を付したものは、同一又は同様の構成を有する。
図1から図10は、実施形態を説明するための図である。以下、これらの図を参照しながら、以下の流れに沿って実施形態を説明する。まず「1」で、実施形態に係る認証システムの概要を説明する。続いて「2」で、認証システムに含まれるサーバ装置、ゲートウェイ装置及びチケットアプリの機能構成を説明し、「3」で認証システムの処理の流れを説明する。「4」では、「3」で説明した実施形態とは異なる別の実施形態を説明し、「5」では、認証システムに含まれるサーバ装置及び携帯端末を実装可能なハードウェア構成の具体例を説明する。最後に、「6」で本実施形態に係る効果を説明する。
(1.概要)
図1は、本発明の一実施形態に係る認証システムの構成例を示す。認証システム10は、サーバ装置100及びゲートウェイ装置200を備える。サーバ装置100は、インターネット等の通信ネットワークNを介して、ゲートウェイ装置200及び複数のユーザU(A〜C)が保有する携帯端末300(a〜c)と通信可能に接続されている。サーバ装置100は、ゲートウェイ装置200と協働して、携帯端末300を介して受け付けられる認証要求を処理する。
図1においては、認証サービスを提供するサービス事業者により管理されるサーバ装置100、ゲートウェイ装置200がそれぞれ1つのみ図示されているが、これらの装置の数は特に限定されない。また、携帯端末300は例示のため3つのみ図示されているが、これらの端末の数も特に限定されない。本発明の実施形態は、電話番号を用いる様々な認証処理に適用することができ、そのサービス内容は特に限定されないが、以下の説明においては、電子チケット受け取りの際に実行される認証処理を例とする。
ユーザUは事前にチケットを購入申請し、携帯端末300のチケットアプリ400を用いて、当選したチケットに係るチケットデータをサーバ装置100からダウンロードすることができる。ユーザUは、ダウンロードした電子チケットを表示した表示画面を会場の係員に提示することで、紙チケットと同様に会場に入場することができる。
チケットデータのダウンロードに際し、チケットアプリ400は、ユーザUからチケットデータ受け取り指示を受けると、認証システム10に対して認証要求を送信する。
認証システム10は、サーバ装置100においてチケットを受け取る権利を有する携帯端末300の電話番号を管理している。認証システム10が実行する真正性判定では、管理されている電話番号に紐付いた携帯端末300aからの認証要求は成功するが、一方、管理されている電話番号に紐付いていない携帯端末300cからの認証要求は失敗する。さらに、認証システム10が実行する真正性判定では、管理されている電話番号に紐付いた携帯端末300bからの認証要求であっても、管理されていない電話番号に紐付いた携帯端末300cを保有する不正ユーザUCと共謀して不正ユーザUBが不正操作を行った場合、当該携帯端末300bからの認証要求は失敗する。
サーバ装置100は、チケットを受け取る権利を有する携帯端末300の電話番号を含むチケット管理情報191を備える。チケット管理情報191には、既存のチケット管理サーバが複数のユーザから携帯端末300を介してチケットの購入申請を受け付けた後、所定の時期に行った抽選に当選した購入申請者に関連する電話番号が格納されている。ここで、当選した購入申請者に関連する電話番号は、購入申請者自身の電話番号だけでなく、購入申請者が同伴する同伴者の電話番号も含むことができる。
サーバ装置100は、前述したように、ゲートウェイ装置200と協働して、携帯端末300を介して受け付けられる認証要求を処理する。認証要求において、携帯端末300からゲートウェイ装置200にSMSメッセージを送信することで、チケットアプリ400が携帯端末OSのAPIを介して電話番号を取得することなく、サーバ装置100はSMS発信元電話番号として携帯端末300の電話番号を取得することができる。一方、SMSメッセージの本文に含まれる情報は、ユーザUによって書き換えられる可能性がある。そのため、チケットアプリ400からサーバ装置100に、SMSメッセージの本文に含まれる情報と同一の書き換え不能な情報を送信することで、サーバ100はユーザUによる不正操作を判定することができる。
チケット管理情報191に管理されている電話番号に紐付く携帯端末300aからの認証要求はサーバ装置100の真正性判定に成功し、ユーザUAはチケットアプリ400を用いて、当選したチケットに係るチケットデータをサーバ装置100からダウンロードすることができる。一方、チケット管理情報191に管理されていない電話番号に紐付く携帯端末300cからの認証要求はサーバ装置100の真正性判定に失敗するので、ユーザUCは電子チケットを受け取ることはできない。さらには、チケット管理情報191に管理されている電話番号に紐付く携帯端末300bからの認証要求であっても、不正ユーザUBが不正操作を行った場合、認証要求はサーバ装置100の真正性判定に失敗するので、電子チケットを受け取ることはできない。
(2.機能構成)
以下、図2及び図3を参照しながら、本実施形態に係るサーバ装置100、ゲートウェイ装置200及び携帯端末300にインストールされるチケットアプリ400の機能構成を説明する。
(2.1 サーバ装置100の機能構成)
まず、図2を参照しながら、サーバ装置100の機能構成を説明する。図2は、サーバ装置100の機能構成の具体例を示す機能ブロック図である。サーバ装置100は、ウェブサイト提供部110、抽選部120、認証要求受信部130、認証要求ログ管理部140、SMS情報受信部150、真正性判定部160、認証応答部170、チケットデータ送信部180、及びDB190を含む。なお、サーバ装置100の機能構成は、必ずしも1台のサーバにより実現する必要はなく、複数台のサーバにより実現することも考えられる。例えば、本実施形態におけるサーバ装置100は、チケット管理システムの機能を兼ね備えているが、これに限るものではなく、サーバ装置100に対してチケット管理機能を提供する別個のチケット管理サーバ等が構成されていてもよい。
ウェブサイト提供部110は、電子チケットサービスを提供するためのウェブサイトを、例えばインターネットであるネットワークN上で提供する。当該ウェブサイトは、販売しているチケット等の各種情報を提供したり、チケットを実際に販売したりすることができる。このためにウェブサイト提供部110は、HTML(HyperText Markup Language)等で記述されたウェブページを、ユーザUの使用する携帯端末300へ送信すると共に、ユーザUによる入力結果等を、携帯端末300から受信する。ウェブサイト提供部110は、ユーザ画面送信部111及びチケット購入申請受信部113を含む。
ユーザ画面送信部111は、ユーザUからの入力等に応答して、対応するウェブページを作成して携帯端末300に送信する。具体的には、例えば販売対象のチケットの一覧画面、チケットの購入を申請する申請画面等に係る各種ウェブページを、ユーザ画面送信部111は携帯端末300のブラウザ320へ送信する。
チケット購入申請受信部113は、ユーザUの携帯端末300から、ユーザUの選択したチケットの購入申請を受け付ける。前述したように、購入を申請したユーザUがチケットの購入権を得た(例えばチケットに当選した)場合に当該チケットを電子チケットとして受け取る携帯端末の電話番号の入力も、チケット購入申請受信部113は受け付ける。チケット購入申請受信部113が受け付けた各種情報は、チケット購入申請情報193としてDB190に格納される。
抽選部120は、販売されている各々のチケットに対して、いずれの購入申請者に購入権を与えるかを決める。抽選部120は、抽選に当選した購入申請者に関連する電話番号を、チケット管理情報191においてチケットに紐付けて格納する。
認証要求受信部130は、携帯端末300のチケットアプリ400から認証要求を受信して、認証要求ログを生成する。認証要求には、チケットアプリ400が携帯端末300に固有の情報(以下、端末固有情報と呼ぶ。)及びタイムスタンプ(年/月/日/時/分/秒)を用いて生成した、直接ワンタイム暗号化データが含まれる。本実施形態では、認証システム10は、端末固有情報として、携帯端末300を一意に識別する携帯端末IDを用いるが、携帯端末300から取得可能な、携帯端末300に固有の任意の情報を用いることができる。なお、携帯端末IDとして、例えば携帯端末300にインストールされたチケットアプリ400に個別に割り当てた識別情報を用いることができる。
ここで、本明細書に記載の端末固有情報には、携帯端末ID等の携帯端末300に固有の任意の情報のみならず、例えば、携帯端末ID及びタイムスタンプを用いて生成したワンタイム暗号化データ等、携帯端末300に固有の情報に基づく情報が含まれる。
ここで、本明細書に記載のワンタイム暗号化データは、一定期間内において一度だけ有効な暗号化データである。また、本明細書では、チケットアプリ400が生成したワンタイム暗号化データのうち、認証要求として携帯端末300からサーバ装置100に直接送信されるものを「直接ワンタイム暗号化データ」、後述するSMSメッセージに含まれる認証情報として携帯端末300からゲートウェイ装置200を経由してサーバ装置100に送信されるものを「経由ワンタイム暗号化データ」と呼ぶ。本明細書では説明の便宜上、異なる名称を付して呼ぶが、SMSメッセージの本文に含まれるワンタイム暗号化データを故意に書き換えない限り、直接ワンタイム暗号化データと経由ワンタイム暗号化データとは同一の内容である。
認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、端末固有情報を取得する。そして、認証要求受信部130は、取得した端末固有情報と受信時刻とを、認証要求ログとして認証要求ログ情報195に格納する。本実施形態では、認証要求受信部130は、直接ワンタイム暗号化データから携帯端末IDを取得して、取得した携帯端末IDと受信時刻とを認証要求ログとして格納する。
認証要求ログ管理部140は、受信から一定の期間を経過した認証要求ログを、認証要求ログ情報195から削除する。本実施形態では、受信から10分経過した認証要求ログを削除するものとして説明するが、認証要求ログを削除する時間として他の任意の期間を設定することができる。このように、認証要求の受信から一定の期間を経過した認証要求ログについては無効であるとして削除することで、より強固な認証システムを構築することができる。
SMS情報受信部150は、携帯端末300からゲートウェイ装置200に送信されたSMSメッセージに含まれる認証情報をゲートウェイ装置200から受信する。ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が端末固有情報及びタイムスタンプを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号が含まれる。SMS情報受信部150は、認証情報に含まれる経由ワンタイム暗号化データを復号化して、端末固有情報を取得する。本実施形態では、SMS情報受信部150は、経由ワンタイム暗号化データから携帯端末IDを取得する。
真正性判定部160は、SMS情報受信部150が受信した認証情報を用いて真正性判定を行う。まず、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する。チケット管理情報191において、受信したSMS発信元電話番号が存在する場合、ゲートウェイ装置200にSMSメッセージを送信した携帯端末300の電話番号が、チケットを受け取る権利を有することが確認される。
次に、真正性判定部160は、第2の真正性判定として、認証要求ログ情報195を参照して、経由ワンタイム暗号化データから得られた端末固有情報に関する認証要求ログが存在するか否かを判定する。本実施形態では、真正性判定部160は、認証要求ログ情報195において、経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが存在するか否かを判定する。
直接ワンタイム暗号化データから得られた端末固有情報を含む認証要求ログ情報195において、経由ワンタイム暗号化データから得られた端末固有情報に関する認証要求ログが存在する場合、ゲートウェイ装置200に送信されたSMSメッセージが、ワンタイム暗号化データを生成したチケットアプリ400がインストールされた携帯端末300からのものであることが確認される。すなわち、SMSメッセージのSMS発信元電話番号と、SMSメッセージに含まれるワンタイム暗号化データから得られた端末固有情報とが関連付けられる。
第1の真正性判定でチケット管理情報191において、受信したSMS発信元電話番号が存在し、第2の真正性判定で認証要求ログ情報195において、経由ワンタイム暗号化データから得られた端末固有情報に関する認証要求ログが存在する場合、真正性判定部160は、チケット管理情報191において、第2の真正性判定を経た端末固有情報を、第1の真正性判定を経た電話番号に紐付けて格納する。
一方、第1の真正性判定でチケット管理情報191において、受信したSMS発信元電話番号が存在しないにも関わらず、第2の真正性判定で認証要求ログ情報195において、経由ワンタイム暗号化データから得られた端末固有情報に関する認証要求ログが存在する場合、真正性判定部160は、経由ワンタイム暗号化データから得られた端末固有情報に関する認証要求ログを、不正ユーザUからの認証要求に由来するものとして削除する。
認証応答部170は、経由ワンタイム暗号化データから得られた端末固有情報及びタイムスタンプを共通鍵で暗号化して、ワンタイム暗号化データを生成する。さらに、認証応答部170は、携帯端末300においてチケットアプリ400を起動すると共に、チケットアプリ400に、認証応答部170が生成したワンタイム暗号化データを用いた処理を実行可能とさせるためのURLスキームを生成して、当該URLスキームを含むSMSメッセージを、SMS発信元電話番号に送信する。
本実施形態では、URLスキームは、チケットアプリ400に、SMSメッセージで特定されるワンタイム暗号化データと、認証要求送信時に生成したワンタイム暗号化データとが一致するか否か判定する処理を実行可能とさせる。両ワンタイム暗号化データが一致する場合、チケットを受け取る権利を有する電話番号と紐付く携帯端末300からの認証要求であることが認証され、チケットアプリ400は、チケットデータ受け取り処理に遷移する。
チケットデータ送信部180は、携帯端末300からのチケットデータ送信要求に応答して、チケットデータを携帯端末300に送信する。チケットデータ送信要求には、一連の認証処理において真正性が確認された端末固有情報が含まれる。チケットデータ送信部180は、チケット管理情報191を参照して、チケット受取要求に含まれる端末固有情報に紐付いたチケットデータを携帯端末300に送信する。本実施形態では、チケットデータ送信部180は、携帯端末IDを含むチケットデータ送信要求を受信して、受信した携帯端末IDに紐付いたチケットデータを携帯端末300に送信する。
DB190は、チケット管理情報191、チケット購入申請情報193及び認証要求ログ情報195を管理する。
チケット管理情報191には、イベント主催者/サービス事業者が発行する各チケットを、例えばイベント毎に管理するためのデータが格納されている。チケット管理情報191において、チケットを電話番号に紐付けて管理することにより、チケットを受け取る権利を有するユーザUの携帯端末300を確認することが可能である。この他、一実施形態では、チケット管理情報191には、チケットに関する各種情報である、公演名、会場名、チケット種別、使用者の属性等に基づくチケット券種、各種期限、端末固有情報等が管理されていることが望ましい。
チケット購入申請情報193には、チケット購入を申請したチケット及びチケット購入申請者に係る各種情報が格納されている。一実施形態では、チケット購入申請情報193には、チケット購入申請者及び同伴者が電子チケットを受け取る際に用いる携帯端末300の電話番号も含むことができる。
認証要求ログ情報195には、前述したように、認証要求に含まれる直接ワンタイム暗号化データから得られた端末固有情報と受信時刻とが格納されている。本実施形態では、前述したように、端末固有情報として携帯端末IDが格納されている。
(2.2 ゲートウェイ装置200の機能構成)
次に、ゲートウェイ装置の機能構成を説明する。ゲートウェイ装置200は、認証SMS受信部を含む。
認証SMS受信部は、携帯端末300からSMSメッセージを受信して、受信したSMSメッセージに含まれるワンタイム暗号化データ及びSMS送信元電話番号を認証情報としてサーバ装置100に送信する。
(2.3 チケットアプリ400の機能構成)
次に、図3を参照しながら、携帯端末300にインストールされるチケットアプリ400の機能構成を説明する。図3は、チケットアプリ400の機能構成の具体例を示す機能ブロック図である。チケットアプリ400は、認証要求送信部410、ワンタイム暗号化データ管理部420、URLスキーム実行部430、チケット取得部440、UI表示部450及びDB460を含む。
認証要求送信部410は、サーバ装置100に認証要求を送信するために、ワンタイム暗号化データを生成する。前述したように、認証要求には、チケットアプリ400が端末固有情報及びタイムスタンプを用いて生成した、ワンタイム暗号化データが含まれる。本実施形態では、認証要求送信部410は、端末固有情報として、携帯端末300を一意に識別する携帯端末IDを用い、当該携帯端末ID及びタイムスタンプを共通鍵で暗号化して、ワンタイム暗号化データを生成する。
続いて認証要求送信部410は、SMSメッセージをゲートウェイ装置200に送信するために携帯端末300のSMSアプリ330を起動して、生成したワンタイム暗号化データを本文に含むSMSメッセージを生成する。さらに認証要求送信部410は、ユーザUからの送信指示に応答してSMSアプリ330が正常にSMSメッセージを送信した場合、生成したワンタイム暗号化データを含む認証要求をサーバ装置100に送信し、生成したワンタイム暗号化データをDB460にワンタイム暗号化データ461として格納する。
携帯端末300からSMSメッセージを送信することで、チケットアプリ400が携帯端末OSのAPIを介して電話番号を取得することなく、サーバ装置100はSMS発信元電話番号として携帯端末300の電話番号を取得することができる。一方、SMSメッセージの本文に含まれる情報は、ユーザUによって書き換えられる可能性がある。そのため、チケットアプリ400からサーバ装置100に、SMSメッセージの本文に含まれる情報と同一の書き換え不能な情報を送信することで、サーバ100はユーザUによる不正操作を判定することができる。
本実施形態では、認証要求送信部410によるワンタイム暗号化データ生成後、他のアプリが有効化(チケットアプリ400から他のアプリへのタスクの切り替え)されることなく、所定の時間(例えば、20秒等)以内にSMSメッセージの送信が完了した場合に、認証要求送信部410は、正常にSMSメッセージが送信されたと判定する。すなわち、認証要求送信部410はワンタイム暗号化データを含む認証要求をサーバ装置100に送信する。
ワンタイム暗号化データ管理部420は、認証要求送信部410によるワンタイム暗号化データ生成から一定の期間を経過したワンタイム暗号化データ461を、DB460から削除する。本実施形態では、生成から10分経過したワンタイム暗号化データを削除するものとして説明するが、ワンタイム暗号化データを削除する時間として他の任意の期間を設定することができる。このように、生成から一定の期間を経過したワンタイム暗号化データについては無効であるとして削除することで、より強固な認証システムを構築することができる。
URLスキーム実行部430は、SMSメッセージに含まれるURLスキームをユーザが選択することに応答して、URLスキームに記述されているワンタイム暗号化データと、DB460に格納されているワンタイム暗号化データ461とが一致するか否か判定する。また、URLスキーム実行部430は、判定の後、DB460からワンタイム暗号化データ461を削除する。
SMSメッセージで特定されるワンタイム暗号化データと認証要求送信時に生成したワンタイム暗号化データとが一致する場合、サーバ装置100において電話番号と紐付けられた端末固有情報を有する携帯端末上でURLスキームが実行されていることが確認される。よって、SMSメッセージに含まれるURLスキームをコピーし、不正に利用されることを防ぐことができる。
チケット取得部440は、URLスキーム実行部430によって両ワンタイム暗号化データが一致すると判定される場合に、サーバ装置100にチケットデータ送信要求を送信し、ユーザUが受取可能なチケットデータをサーバ装置100から受信する。チケットデータ送信要求には、一連の認証処理において真正性が確認された端末固有情報が含まれる。受信したチケットデータは、チケット情報463としてDB460に格納される。
UI表示部450は、ユーザUに対して、認証要求を送信するためのチケット受け取り画面、取得したチケットデータを閲覧可能なチケットデータ表示画面等を表示する。
DB460は、ワンタイム暗号化データ461及びチケット情報463を管理する。
ワンタイム暗号化データ461は、端末固有情報を共通鍵で暗号化したデータである。本実施形態では、前述したように、ワンタイム暗号化データは、端末固有情報として携帯端末IDを用い、当該携帯端末ID及びタイムスタンプを共通鍵で暗号化することで生成される。
チケット情報463は、ユーザUが使用可能な電子チケットに関する各種情報である。チケット情報483には、例えば、公演名、会場名、チケット種別、使用対象者の属性等に基づく券種、電子チケットとして表示する画像や、有効期間等の情報を含むことができる。前述したように、チケット情報483はチケット取得部440がサーバ装置100から取得する。
(3.処理の流れ)
以下、認証システム10の処理の流れを、図4から図8を参照しながら説明する。まず、図4を用いて、サーバ装置100が、チケット管理情報191において、抽選に当選した購入申請者に関連する電話番号をチケットに紐付けて格納する処理について説明する。次に、図5を用いて、サーバ装置100がゲートウェイ装置200と協働して、真正ユーザUAからの認証要求を処理するフローについて説明する。
次に、図6及び図7を用いて、サーバ装置100がゲートウェイ装置200と協働して、不正ユーザUからの認証要求を処理するフローについて説明する。図6及び図7はいずれも、ダフ屋である不正ユーザUBとダフ屋からチケットの購入を望む不正ユーザUCとが共謀して、SMSメッセージの本文の書き換えを行って認証要求を行う例である。図6で、ダフ屋である不正ユーザUBのみが認証要求を送信する例を示し、図7は、ダフ屋である不正ユーザUB及びダフ屋からチケットの購入を望む不正ユーザUCがいずれも認証要求を送信する例を示す。最後に、図8を用いて、サーバ装置100の認証処理の流れを説明する。
なお、後述の各処理ステップは、処理内容に矛盾を生じない範囲で、任意に順番を変更して若しくは並列に実行することができ、また、各処理ステップ間に他のステップを追加しても良い。更に、便宜上1つのステップとして記載されているステップは複数のステップに分けて実行することもでき、便宜上複数に分けて記載されているステップを1ステップとして実行することもできる。
(3.1 電子チケットの購入申請時の処理)
サーバ装置100が、チケット管理情報191において、抽選に当選した購入申請者に関連する電話番号をチケットに紐付けて格納する処理の流れを、図4を参照しながら説明する。図4は、電子チケットの購入要求に係るサーバ装置100の処理の流れを示すフローチャートである。なお、ユーザUが電子チケット購入申請の際に使用するブラウザ110は、必ずしもチケットアプリ300がインストールされた携帯端末300上である必要はない。例えば、パーソナルコンピュータ(PC)のブラウザを用いて、購入申請を行うこともできる。
ユーザUが携帯端末300のブラウザ320を用いてサーバ装置100の提供するチケットサービスサイトへとアクセスすると(S401)、サーバ装置100のウェブサイト提供部110は、アクセスを受けたURLに応じたウェブページを携帯端末300へと送信する(S403)。
ブラウザ320でのユーザUの操作に応じて、携帯端末300から購入可能チケットの閲覧要求がサーバ装置100に送信されると(S405)、サーバ装置100のユーザ画面送信部111は、購入可能なチケットの一覧画面を携帯端末300へと送信する(S407)。本実施形態では、一覧画面には、チケット管理情報191から抽出された購入可能なチケットの情報が含まれる。
ブラウザ320でのユーザUの操作に応じて、携帯端末300からチケットの購入要求が送信されると(S409)、サーバ装置100のチケット購入申請受信部113が購入要求を受信して、ユーザ画面送信部111が、購入申請情報の登録画面を携帯端末300へと送信する(S411)。本実施形態では、登録画面には、前述したように、購入申請者のチケット受領端末に係る電話番号、及び、同伴者のチケットも購入する場合には、同伴者のチケット受領端末に係る電話番号が含まれる。
ブラウザ320でのユーザUの操作に応じて、携帯端末300から購入申請情報が送信されると(S413)、チケット購入申請受信部113は、受信した購入申請情報をチケット購入申請情報193としてDB190に登録する(S415)。
このようにして、1以上のユーザUからチケットの購入申請を受けた後、所定の抽選時期が到来すると(S417)、サーバ装置100の抽選部120は抽選を行う(S419)。抽選を行った後、抽選部120は、抽選に当選した購入申請者に関連する電話番号を、チケット管理情報191においてチケットに紐付けて格納する(S421)。最後に、サーバ装置100は、例えば購入申請情報として受信したメールアドレスを用いて、購入申請者であるユーザUに抽選結果を通知するメールを送信する(S423)。
(3.2 真正ユーザによる電子チケットの受取時の処理)
真正ユーザUAによる電子チケットの受取に係る処理の流れを、図5を参照しながら説明する。本実施例では、サーバ装置100のチケット管理情報191において真正ユーザUAが保有する携帯端末300aの電話番号が登録されている。図5は、電子チケットの受取に係る認証システム10の処理の流れを示すシーケンス図である。
真正ユーザUAが携帯端末300aのチケットアプリ400を起動すると、チケットアプリ400のUI表示部450は、認証要求を送信するためのチケット受け取り画面を表示する(S501)。チケット受取画面において、真正ユーザUAが、例えばチケット受け取りボタンを押下することにより、チケットアプリ400の認証要求送信部410は、チケットデータ取得のための処理を開始する。まず、認証要求送信部410は、携帯端末300aから携帯端末IDを取得して(S503)、当該携帯端末ID及びタイムスタンプを共通鍵で暗号化して、ワンタイム暗号化データを生成する(S505)。
次に、認証要求送信部410は、ワンタイム暗号化データを含むSMSメッセージをゲートウェイ装置200に送信するために携帯端末300のSMSアプリ330を起動して(S507)、生成したワンタイム暗号化データを本文に含むSMSメッセージを生成する。ユーザUからの送信指示に応答して、SMSアプリ330が正常にSMSメッセージを送信した場合(S509)、認証要求送信部410は、生成したワンタイム暗号化データを含む認証要求をサーバ装置100に送信し(S511)、生成したワンタイム暗号化データをDB460にワンタイム暗号化データ461として格納する(S513)。
本実施形態では、認証要求送信部410によるワンタイム暗号化データ生成後、他のアプリが有効化(チケットアプリ400から他のアプリへのタスクの切り替え)されることなく、所定の時間(例えば、20秒等)以内にSMSメッセージの送信が完了した場合に、認証要求送信部410は、正常にSMSメッセージが送信されたと判定する。すなわち、認証要求送信部410はワンタイム暗号化データを含む認証要求をサーバ装置100に送信する。
携帯端末300aから認証要求を受信すると、サーバ装置100の認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、携帯端末300aの携帯端末IDを取得する(S515)。さらに、認証要求受信部130は、取得した携帯端末IDを、受信時刻の情報と共に認証要求ログとして認証要求ログ情報195に格納する(S517)。
一方、ゲートウェイ装置200が携帯端末300aからSMSメッセージを受信すると、ゲートウェイ装置200の認証SMS受信部は、受信したSMSメッセージに含まれるワンタイム暗号化データ及びSMS送信元電話番号を認証情報としてサーバ装置100に送信する(S519)。
サーバ装置100のSMS情報受信部150がゲートウェイ装置200から携帯端末300aの認証情報を受信すると、認証情報に含まれる経由ワンタイム暗号化データを復号化して、携帯端末IDを取得する(S521)。本実施形態では、ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が携帯端末300aの携帯端末ID及びタイムスタンプを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号として携帯端末300aの電話番号が含まれる。
次に、真正性判定部160は、SMS情報受信部150が受信した認証情報を用いて真正性判定を行う。まず、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する(S523)。本実施例では、携帯端末300aの電話番号はチケット管理情報191において登録されているので、第1の真正性判定は成功する。
次に、真正性判定部160は、第2の真正性判定として、S521で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S525)。受信したSMS発信元電話番号がチケット管理情報191に存在し、かつ、経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが存在する場合、真正性判定部160は、チケット管理情報191において、第2の真正性判定を経た携帯端末IDを、第1の真正性判定を経た電話番号に紐付けて格納する(S527)。
本実施例では、経由ワンタイム暗号化データを復号化して得られる携帯端末300aの携帯端末IDに関する認証ログは、S517で認証要求ログ情報195に格納されているので、第2の真正性判定にも成功し、S527で携帯端末IDと電話番号とが紐付けられる。
携帯端末IDと電話番号とが紐付けられると、サーバ装置100の認証応答部170は、経由ワンタイム暗号化データから得られた端末固有情報及びタイムスタンプを共通鍵で暗号化して、ワンタイム暗号化データを生成する(S529)。さらに、認証応答部170は、携帯端末300においてチケットアプリ400を起動すると共に、チケットアプリ400にワンタイム暗号化データを用いた処理を実行可能とさせるためのURLスキームを生成して(S531)、当該URLスキームを含むSMSメッセージを、SMS発信元電話番号に送信する(S533)。
サーバ装置100からSMSメッセージを受信すると、ユーザ操作に応じて、SMSアプリ330は受信したSMSメッセージを表示する(S535)。SMSメッセージに含まれるURLスキームをユーザが選択すると、チケットアプリ400が起動され、チケットアプリ400のURLスキーム実行部430が、SMSメッセージで特定されるワンタイム暗号化データと、DB460に格納されるワンタイム暗号化データ461とが一致するか否か判定する(S537)。また、URLスキーム実行部430は、判定の後、DB460からワンタイム暗号化データ461を削除する。
URLスキーム実行部430によって両ワンタイム暗号化データが一致すると判定される場合、チケットアプリ400のチケット取得部440は、サーバ装置100にチケットデータ送信要求を送信する(S539)。チケットデータ送信要求には、一連の認証処理において真正性が確認された携帯端末300aの携帯端末IDが含まれる。
携帯端末300aからチケットデータ送信要求を受信すると、サーバ装置100のチケットデータ送信部180は、チケット管理情報191を参照して、チケット受取要求に含まれる携帯端末IDに紐付いたチケットデータを携帯端末300aに送信する(S541)。チケット取得部440は、受信したチケットデータをチケット情報463としてDB460に格納する(S543)。
(3.3 不正ユーザによる電子チケットの受取時の処理1)
次に、不正ユーザUB及び不正ユーザUCによる電子チケットの受取に係る第1の処理の流れを、図6を参照しながら説明する。本実施例では、サーバ装置100のチケット管理情報191においてダフ屋である不正ユーザUBが保有する携帯端末300bの電話番号が登録されており、不正ユーザUCは、ダフ屋である不正ユーザUBからチケットの購入を望む不正ユーザである。図6は、電子チケットの受取に係る認証システム10の処理の流れを示すシーケンス図である。
図6のS501からS507は、図5のS501からS507と同じ処理であるので、これらの処理の詳細な説明は省略する。ただし、図6では、ユーザUAが保有する携帯端末300aに代えて、不正ユーザUCが保有する携帯端末300cで処理が実行される。
S507においてSMSアプリ330が起動された後、不正ユーザUCは、SMSメッセージを送信することなく、SMSメッセージに含まれるワンタイム暗号化データをコピーして、他のメールアプリ等を用いて不正ユーザUBに送信する(S601)。認証SMS送信部420が正常にSMSメッセージを送信していないので、認証要求送信部410は、生成したワンタイム暗号化データを含む認証要求をサーバ装置100に送信することなく、及びDB460にワンタイム暗号化データ461を格納することもない。
不正ユーザUBは、不正ユーザUCから携帯端末300cの携帯端末IDに関連するワンタイム暗号化データを受信する。その後、不正ユーザUBの携帯端末300bで、図5のS501からS507と同じS603からS609の処理が実行され、S609においてSMSアプリ330が起動される。
ここで、不正ユーザUBは、S609において表示されたSMSメッセージの本文を、不正ユーザUCから受信した携帯端末300cの携帯端末IDに関連するワンタイム暗号化データに書き換えてSMSメッセージを送信する(S611)。不正ユーザUBからの送信指示に応答して、SMSアプリ330が正常にSMSメッセージを送信したので、認証要求送信部410は、生成した(携帯端末300bの携帯端末IDに関連する)ワンタイム暗号化データを含む認証要求をサーバ装置100に送信し(S613)、DB460に(携帯端末300bの携帯端末IDに関連する)ワンタイム暗号化データ461として格納する(S615)。
携帯端末300bから認証要求を受信すると、サーバ装置100の認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、携帯端末300bの携帯端末IDを取得する(S617)。さらに、認証要求受信部130は、取得した携帯端末300bの携帯端末IDを、受信時刻の情報と共に認証要求ログとして認証要求ログ情報195に格納する(S619)。
一方、ゲートウェイ装置200が携帯端末300bからSMSメッセージを受信すると、ゲートウェイ装置200の認証SMS受信部は、受信したSMSメッセージに含まれるワンタイム暗号化データ及びSMS送信元電話番号を認証情報としてサーバ装置100に送信する(S621)。
SMS情報受信部150がゲートウェイ装置200から認証情報を受信すると、認証情報に含まれる経由ワンタイム暗号化データを復号化して、携帯端末IDを取得する(S623)。本実施形態では、ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が携帯端末300cの携帯端末ID及びタイムスタンプを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号として携帯端末300bの電話番号が含まれるので、SMS情報受信部150は、携帯端末300cの携帯端末IDを取得する。
次に、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する(S625)。本実施例では、携帯端末300bの電話番号はチケット管理情報191において登録されているので、第1の真正性判定は成功する。
さらに、真正性判定部160は、第2の真正性判定として、S623で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S627)。本実施例では、経由ワンタイム暗号化データを復号化して得られるのは携帯端末300cの携帯端末IDであり、一方、認証要求ログにはS619で携帯端末300bの携帯端末IDに関する認証ログが格納されているので、経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログは存在しない。
よって、第2の真正性判定に失敗し、サーバ装置100は処理を終了する。
このように、不正ユーザUBと不正ユーザUCが共謀して、ゲートウェイ装置200に送信されたSMSメッセージが書き換えられる場合、すなわち、当該SMSメッセージを送信する携帯端末300bと、ワンタイム暗号化データを生成するチケットアプリ400がインストールされた携帯端末300cとが異なる場合、携帯端末300bからの認証要求はサーバ装置100における真正性判定に失敗する。よって、不正ユーザはチケットを取得することはできない。
(3.4 不正ユーザによる電子チケットの受取時の処理2)
さらに、不正ユーザUB及び不正ユーザUCによる電子チケットの受取に係る第2の処理の流れを、図7を参照しながら説明する。本実施例も、サーバ装置100のチケット管理情報191においてダフ屋である不正ユーザUBが保有する携帯端末300bの電話番号が登録されており、不正ユーザUCは、ダフ屋である不正ユーザUBからチケットの購入を望む不正ユーザである。図7は、電子チケットの受取に係る認証システム10の処理の流れを示すシーケンス図である。
図7のS501からS507は、図5のS501からS507と同じ処理であるので、これらの処理の詳細な説明は省略する。ただし、図7では、ユーザUAが保有する携帯端末300aに代えて、不正ユーザUCが保有する携帯端末300cで処理が実行される。
S507においてSMSアプリ330が起動された後、不正ユーザUCはSMSメッセージに含まれるワンタイム暗号化データをコピーした後、SMSメッセージを送信する(S509)。不正ユーザUCからの送信指示に応答して、認証SMS送信部420が正常にSMSメッセージを送信したので、認証要求送信部410は、生成した(携帯端末300cの携帯端末IDに関連する)ワンタイム暗号化データを含む認証要求をサーバ装置100に送信し(S511)、及びDB460に(携帯端末300cの携帯端末IDに関連する)ワンタイム暗号化データ461として格納する(S513)。
さらに、不正ユーザUCは、コピーしたSMSメッセージに含まれるワンタイム暗号化データを、他のメールアプリ等を用いて不正ユーザUBに送信する(S701)。
携帯端末300cから認証要求を受信すると、サーバ装置100の認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、携帯端末300cの携帯端末IDを取得する(S515)。さらに、認証要求受信部130は、取得した携帯端末300cの携帯端末IDを、認証要求ログとして認証要求ログ情報195に格納する(S517)。
一方、ゲートウェイ装置200が携帯端末300cからSMSメッセージを受信すると、ゲートウェイ装置200の認証SMS受信部は、受信したSMSメッセージに含まれるワンタイム暗号化データ及びSMS送信元電話番号を認証情報としてサーバ装置100に送信する(S519)。
SMS情報受信部150がゲートウェイ装置200から認証情報を受信すると、認証情報に含まれる経由ワンタイム暗号化データを復号化して、携帯端末IDを取得する(S521)。本実施形態では、ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が携帯端末300cの携帯端末ID及びタイムスタンプを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号として携帯端末300cの電話番号が含まれるので、SMS情報受信部150は、携帯端末300cの携帯端末IDを取得する。
次に、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する(S523)。本実施例では、携帯端末300cの電話番号はチケット管理情報191において登録されていないので、第1の真正性判定は失敗する。
さらに、真正性判定部160は、第2の真正性判定として、S521で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S525)。本実施例では、経由ワンタイム暗号化データを復号化して得られる携帯端末300cの携帯端末IDに関する認証要求ログが、認証要求ログ情報195に格納されている。
第1の真正性判定に失敗しているので、真正性判定部160は、経由ワンタイム暗号化データから得られた携帯端末300cの携帯端末IDに関する認証要求ログを、不正ユーザUからの認証要求に由来するものとして削除する(S703)。
よって、第1の真正性判定に失敗し、サーバ装置100は処理を終了する。なお、本実施例では、不正ユーザUCを、ダフ屋である不正ユーザUBと共謀する不正ユーザとして記載しているが、ユーザUCが単独で電子チケットの受取を試みた場合も、上述した図7のS501からS525、及びS703で説明されるように、サーバ装置100における真正性判定に失敗する。
ここでさらに、不正ユーザUCから携帯端末300cの携帯端末IDに関連するワンタイム暗号化データを受信した不正ユーザUBが、携帯端末300bを用いて操作を行う。携帯端末300bで、図6のS603からS609と同じS705からS711の処理が実行され、S711においてSMSアプリ330が起動される。
ここで、不正ユーザUBは、S711において表示されたSMSメッセージの本文を、不正ユーザUCから受信した携帯端末300cの携帯端末IDに関連するワンタイム暗号化データに書き換えてSMSメッセージを送信する(S713)。不正ユーザUBからの送信指示に応答して、SMSアプリ330が正常にSMSメッセージを送信したので、認証要求送信部410は、生成した(携帯端末300bの携帯端末IDに関連する)ワンタイム暗号化データを含む認証要求をサーバ装置100に送信し(S715)、DB460に(携帯端末300bの携帯端末IDに関連する)ワンタイム暗号化データ461として格納する(S717)。
携帯端末300bから認証要求を受信すると、サーバ装置100の認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、携帯端末300bの携帯端末IDを取得する(S719)。さらに、認証要求受信部130は、取得した携帯端末300bの携帯端末IDを、受信時刻の情報と共に認証要求ログとして認証要求ログ情報195に格納する(S721)。
一方、ゲートウェイ装置200が携帯端末300bからSMSメッセージを受信すると、ゲートウェイ装置200の認証SMS受信部は、受信したSMSメッセージに含まれるワンタイム暗号化データ及びSMS送信元電話番号を認証情報としてサーバ装置100に送信する(S723)。
SMS情報受信部150がゲートウェイ装置200から認証情報を受信すると、認証情報に含まれる経由ワンタイム暗号化データを復号化して、携帯端末IDを取得する(S725)。本実施形態では、ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が携帯端末300cの携帯端末ID及びタイムスタンプを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号として携帯端末300bの電話番号が含まれるので、SMS情報受信部150は、携帯端末300cの携帯端末IDを取得する。
次に、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する(S727)。携帯端末300bの電話番号はチケット管理情報191において登録されているので、第1の真正性判定は成功する。
さらに、真正性判定部160は、第2の真正性判定として、S725で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S729)。本実施例では、S517で格納された携帯端末300cの携帯端末IDはS703で削除されているので、認証要求ログには、S721で格納された携帯端末300bの携帯端末IDのみが格納されている。すなわち、経由ワンタイム暗号化データから得られる携帯端末300bの携帯端末IDに関する認証要求ログは存在しないので、第2の真正性判定に失敗し、サーバ装置100は処理を終了する。
このように、チケットを受け取る権利を有する携帯端末300の電話番号を含むチケット管理情報191において登録されていない携帯端末300cからの認証要求は、サーバ装置100における第1の真正性判定に失敗する。
さらに、不正ユーザUBと不正ユーザUCが共謀して、携帯端末300cにインストールされたチケットアプリ400で生成されたワンタイム暗号化データが携帯端末300bに送信される場合がある。しかし、SMSメッセージを書き換えて送信する携帯端末300bからの認証要求は、サーバ装置100における第2の真正性判定に失敗する。よって、不正ユーザはチケットを取得することはできない。
(3.5 認証処理)
サーバ装置100の認証要求に係る処理の流れを、図8を参照しながら説明する。図8は、サーバ装置100の認証処理の流れを示すフローチャートである。
携帯端末300から認証要求を受信すると(S801)、認証要求受信部130は、認証要求に含まれる直接ワンタイム暗号化データを復号化して、携帯端末300の携帯端末IDを取得する(S803)。さらに、認証要求受信部130は、取得した携帯端末IDを、認証要求ログとして認証要求ログ情報195に格納する(S805)。
一方、SMS情報受信部150がゲートウェイ装置200から携帯端末300の認証情報を受信する(S807)。本実施形態では、ゲートウェイ装置200から受信する認証情報には、チケットアプリ400が携帯端末300の携帯端末IDを用いて生成した経由ワンタイム暗号化データ、及びSMS発信元電話番号が含まれる。SMS情報受信部150は、認証情報に含まれる経由ワンタイム暗号化データを復号化して、携帯端末IDを取得する(S809)。
次に、真正性判定部160は、第1の真正性判定として、受信したSMS発信元電話番号がチケット管理情報191に存在するか否かを判定する(S811)。さらに、真正性判定部150は、第2の真正性判定として、S809で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S813)。
受信したSMS発信元電話番号がチケット管理情報191に存在し(S811:Yes)、かつ、経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが存在する(S813:Yes)場合、真正性判定部160は、チケット管理情報191において、第2の真正性判定を経た携帯端末IDを、第1の真正性判定を経た電話番号に紐付けて格納する(S815)。
次に、認証応答部170は、経由ワンタイム暗号化データから得られた携帯端末ID及びタイムスタンプを含むデータを共通鍵で暗号化して、ワンタイム暗号化データを生成する(S817)。さらに、認証応答部170は、携帯端末300においてチケットアプリ400を起動すると共に、チケットアプリ400にワンタイム暗号化データを用いた処理を実行可能とさせるためのURLスキームを生成する(S819)。最後に、認証応答部170は、生成したURLスキームを含むSMSメッセージを、SMS発信元電話番号に送信し(S821)、処理を終了する。
ここで、受信したSMS発信元電話番号がチケット管理情報191に存在しない場合も(S811:No)、真正性判定部160は、S809で経由ワンタイム暗号化データから得られた携帯端末IDに関する認証要求ログが認証要求ログ情報195に存在するか否かを判定する(S823)。同一の認証要求ログが存在する場合(S823:Yes)、真正性判定部160は当該認証要求ログを削除して(S825)処理を終了する。同一の認証要求ログが存在しない場合(S823:No)、真正性判定部160は処理を終了する。S813において同一の認証要求ログが存在しない場合も(S813:No)、真正性判定部160は処理を終了する。
なお、図5〜8の例では、サーバ装置100が携帯端末300から認証要求を受信した後に、ゲートウェイ装置200から認証情報を受信している。しかしながら、前述したように受信の順番は特に限定されるものではなく、サーバ装置100がゲートウェイ装置200から認証情報を受信した後に、携帯端末300から認証要求を受信することもあり得る。
(4.別の実施形態)
特に図2、図3、図5及び図8を参照して説明した実施形態のうち、認証システム10は、一部の処理を省略して認証処理を行うことができる。具体的には、本実施形態では、サーバ装置の認証応答部170、チケットアプリ400のURLスキーム実行部430が行う処理を省略してユーザUの認証処理を行う。
本実施形態では、図5において示されるS501からS527までの処理を経て、サーバ装置100のチケット管理情報191において携帯端末IDと電話番号との紐付けが完了したことにより、携帯端末300からの認証要求を真正なものとして処理し、例えばチケット購入申請情報193において管理されているメールアドレスを用いて、ユーザUに認証結果を通知するメールを送信する。
認証結果を受信したユーザUは、携帯端末300においてチケットアプリ400を起動し、UI表示部450によって表示される画面上で例えばチケットデータ表示ボタンを押下する。これに応答して、チケット取得部440が、一連の認証処理において真正性が確認された携帯端末IDを用いてサーバ装置100にチケットデータ送信要求を送信し、チケットデータを受信するよう構成することもできる。
(5.ハードウェア構成)
以下、サーバ装置100及び携帯端末300を実現可能なハードウェア構成について、図9から図10を参照しながら説明する。
(5.1 サーバ装置100)
まず、図9を参照しながら、サーバ装置100を実現可能なハードウェア構成を説明する。図9は、サーバ装置100を実現可能なハードウェア構成の具体例を示す図である。図9に示すように、サーバ装置100は、制御部901と、通信I/F(インタフェース)部905と、記憶部907と、表示部911と、入力部913とを含み、各部はバスライン915を介して接続される。
制御部901は、CPU(Central Processing Unit。図示せず。)、ROM(Read Only Memory。図示せず。)、RAM(Random Access Memory)903等を含む。制御部901は、記憶部907に記憶される制御プログラム909を実行することにより、一般的な情報処理装置としての機能に加え、上述したチケットサービスに係る認証処理を実現可能に構成される。例えば、図2を参照しながら説明したウェブサイト提供部110、抽選部120、認証要求受信部130、認証要求ログ管理部140、SMS情報受信部150、真正性判定部160、認証応答部170及びチケットデータ送信部180は、RAM903に一時記憶された上で、CPU上で動作する制御プログラム909として実現可能である。
またRAM903は、制御プログラム909に含まれるコードの他、図2に示したチケット管理情報191、チケット購入申請情報193及び認証要求ログ情報195の一部又は全部を一時的に保持する。更にRAM903は、CPUが各種処理を実行する際のワークエリアとしても使用される。
通信I/F部905は、ゲートウェイ装置200及び携帯端末300を含む外部の装置との間で、有線又は無線によるネットワークNを介したデータ通信を行うためのデバイスである。図2で示したウェブサイト提供部110、認証要求受信部130、SMS情報受信部150、認証応答170及びチケットデータ送信部180がゲートウェイ装置200及び携帯端末300との間で行う通信は、全て通信I/F部905が行う。
記憶部907は、例えばHDD(Hard Disk Drive)やフラッシュメモリ等の不揮発性の記憶媒体である。記憶部907は、一般的な情報処理装置としての機能を実現するためのオペレーションシステム(OS)及びデータ(図示せず)を記憶する。また記憶部907は、制御プログラム909及びDB190を記憶する。
制御プログラム909は、上述のチケットサービスに係る認証処理を行うためのプログラムである。前述したように、図2に示したウェブサイト提供部110、抽選部120、認証要求受信部130、認証要求ログ管理部140、SMS情報受信部150、真正性判定部160、認証応答部170及びチケットデータ送信部180は、制御プログラム909に含まれ得る。
DB190は、チケットサービスに係る認証処理に必要な各種データ、例えばチケット管理情報191、チケット購入申請情報193及び認証要求ログ情報195を含むことができる。DB190に含まれる各種データは、必要に応じてRAM903にロードされ、制御部901に含まれるCPUから参照される。
表示部911は、サービス事業者に情報を提示するためのディスプレイ装置である。表示部911の具体例としては、例えば液晶ディスプレイや有機EL(Electro−Luminescence)ディスプレイ等が挙げられる。入力部913は、サービス事業者から入力を受け付けるためのデバイスである。入力部913の具体例としては、キーボードやマウス、タッチパネル等を挙げることができる。
なお、サーバ装置100は、表示部911及び入力部913を必ずしも備える必要はない。また表示部911及び入力部913は、USB(Universal Serial Bus)やディスプレイポート等の各種インタフェースを介して外部からサーバ装置100に接続されても良い。
(5.2 携帯端末300)
次に、図10を参照しながら、携帯端末300を実現可能なハードウェア構成を説明する。図10は、携帯端末300のハードウェア構成の具体例を示す図である。図10に示すように、携帯端末300は、制御部301と、通信インタフェース(I/F)部305と、記憶部307と、タッチパネルディスプレイ309と、入力部315とを含み、各部はバスライン317を介して接続される。
制御部301は、CPU、ROM、RAM303等を含む。制御部301は、記憶部307に記憶されるチケットアプリ400、ブラウザ320、及びSMSアプリ330を実行可能である。これにより、携帯端末300は一般的な情報処理装置としての機能に加え、上述したチケットサービスに係る各種処理を実現可能である。
また、RAM303は、チケットアプリ400、ブラウザ320、及びSMSアプリ330に含まれるコードの他、図3に示したワンタイム暗号化データ461、及びチケット情報463の一部又は全部を一次的に保持する。更にRAM303は、CPUが各種処理を実行する際のワークエリアとしても使用される。
通信I/F部305は、サーバ装置100及びゲートウェイ装置200を含む外部の装置との間で、有線又は無線によるネットワークNを介したデータ通信を行うためのデバイスである。図3で示した認証要求送信部410、チケット取得部440等がサーバ装置100及びゲートウェイ装置200との間で行う通信は、全て通信I/F部305が行う。
記憶部307は、例えばHDDやフラッシュメモリ等の不揮発性の記憶媒体である。記憶部307は、一般的な情報処理としての機能を実現するためのオペレーションシステム(OS)やアプリケーション及びデータ(図示せず)を記憶する。また記憶部307は、チケットアプリ400、ブラウザ320、及びSMSアプリ330を記憶する。
ブラウザ320は、サーバ装置100の提供するチケットサービスサイトを含むネットワークN上の各種ウェブサイトをユーザUに閲覧可能とするためのアプリケーションプログラムである。
SMSアプリ330は、ユーザUがゲートウェイ装置200や他のユーザとの間でSMSメッセージの送受信を行うためのアプリケーションプログラムである。
チケットアプリ400については、図3を参照しながら前述したので、ここでは説明を省略する。
タッチパネルディスプレイ309は、情報を提示する表示装置であるディスプレイ部311と、操作入力がなされるタッチパネル部313とが重ね併せて実装される装置である。タッチパネルディスプレイ309を用いることによりユーザUは、ディスプレイ部311に表示された表示内容に対して、直接操作を行っているような直感的な操作感を得ることができる。
入力部315は、ユーザUからの操作入力を受け付けるための、タッチパネルディスプレイ309とは別に設けられたデバイスである。入力部315の具体例としては、例えば操作ボタンやキーボード、マウス等を挙げることができる。
なお、携帯端末300は、入力部315を必ずしも備える必要はない。また、入力部315は、USB(Universal Serial Bus)やBluetooth(登録商標)等の各種インタフェースを介して外部から携帯端末300に接続されても良い。
以上説明した実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。また、本発明は、その要旨を逸脱しない限り、さまざまな変形が可能である。さらに、当業者であれば、以下に述べる各要素を均等なものに置換した実施形態を採用することが可能であり、係る実施形態も本発明の範囲に含まれる。
(6.本実施形態の効果)
以上、本発明の認証システムによれば、携帯端末OSのAPIを介して電話番号を取得することなく、アプリケーションサイドで電話番号を用いて当該電話番号に紐付く携帯端末300を認証することができる。SMS発信元電話番号がチケット管理情報191に存在するか否かを判定する第1の判定により、ゲートウェイ装置200にSMSメッセージを送信した携帯端末300が、チケット管理情報191に含まれる電話番号に紐付く携帯端末300であることが確認できる。また、認証情報に含まれる携帯端末IDに関する認証要求ログが存在するか否かを判定する第2の判定により、ゲートウェイ装置200に送信されたSMSメッセージが、当該メッセージに含まれる携帯端末IDを生成した携帯端末300からのものであることが確認できる。
また、チケット管理情報191に含まれる電話番号に紐付かない携帯端末300からの認証要求に由来する認証要求ログを削除することで、より強固な認証システムを構築することができる。
また、チケットアプリ400にワンタイム暗号化データを用いた処理を実行可能とさせるためのURLスキームを生成することで、サーバ装置100において電話番号と紐付けられた携帯端末IDに基づくワンタイム暗号化データを用いた処理を確実に遂行することができ、より強固な認証システムを構築することができる。
また、URLスキームを用いて、SMSメッセージで特定されるワンタイム暗号化データと、アプリケーションが認証要求送信時に生成したワンタイム暗号化データとが一致することを確認することにより、認証が成功した携帯端末300上でのみ、URLスキームで指定した所定の処理を実行することができ、より強固な認証システムを構築することができる。
また、認証要求の受信から一定の期間を経過した認証要求ログについては無効であるとして削除することで、より強固な認証システムを構築することができる。
10…認証システム、100…サーバ装置、110…ウェブサイト提供部、111…ユーザ画面送信部、113…チケット購入申請受信部、120…抽選部、130…認証要求受信部、140…認証要求ログ管理部、150…SMS情報受信部、160…真正性判定部、170…認証応答部、180…チケットデータ送信部、190…DB、191…チケット管理情報、193…チケット購入申請情報、195…認証要求ログ情報、200…ゲートウェイ装置、300…携帯端末、301…制御部、303…RAM、305…通信I/F部、307…記憶部、309…タッチパネルディスプレイ、311…ディスプレイ部、313…タッチパネル部、315…入力部、317…バスライン、320…ブラウザ、330…SMSアプリ、400…チケットアプリ、410…認証要求送信部、420…ワンタイム暗号化データ管理部、430…URLスキーム実行部、440…チケット取得部、450…UI表示部、460…DB、461…ワンタイム暗号化データ、463…チケット情報、901…制御部、903…RAM、905…通信I/F部、907…記憶部、909…制御プログラム、911…表示部、913…入力部、315…バスライン、1001…制御部、1003…RAM、1005…通信I/F部、1007…記憶部、1009…制御プログラム、1011…バスライン、N…ネットワーク、U…ユーザ

Claims (10)

  1. ゲートウェイ装置及び携帯端末と通信可能に接続されるサーバ装置であって、
    携帯端末の電話番号を記憶する記憶部と、
    携帯端末のアプリケーションから当該携帯端末に固有な端末固有情報を含む認証要求を受信して、前記端末固有情報に基づいて認証要求ログを生成する認証要求受信部と、
    前記携帯端末から前記ゲートウェイ装置に送信されたSMS(ショートメッセージサービス)メッセージに含まれる認証情報を前記ゲートウェイ装置から受信して、受信した前記認証情報から端末固有情報を取得するSMS情報受信部であって、前記認証情報は、前記端末固有情報及びSMS発信元電話番号を含む、SMS情報受信部と、
    前記SMS発信元電話番号が前記記憶部に存在するか否かを判定する第1の判定と、前記認証情報に含まれる前記端末固有情報に関する認証要求ログが存在するか否かを判定する第2の判定とを実行する真正性判定部であって、前記SMS発信元電話番号が前記記憶部に存在し、前記認証情報に含まれる前記端末固有情報に関する認証要求ログが存在する場合、前記端末固有情報を、前記記憶部の前記電話番号に紐付けて格納する、真正性判定部と
    を備えるサーバ装置。
  2. 前記真正性判定部は、前記SMS発信元電話番号が前記記憶部に存在しない場合、前記認証情報に含まれる前記端末固有情報に関する認証要求ログを削除する、請求項1に記載のサーバ装置。
  3. 前記SMS発信元電話番号が前記記憶部に存在し、前記認証情報に含まれる前記端末固有情報に関する認証要求ログが存在する場合、前記携帯端末において前記アプリケーションを起動すると共に、前記アプリケーションに前記端末固有情報を用いた処理を実行可能とさせるためのURLスキームを生成して、当該URLスキームを含むSMSメッセージを、前記SMS発信元電話番号に送信する認証応答部
    をさらに備える、請求項1又は2に記載のサーバ装置。
  4. 前記URLスキームは、前記アプリケーションに、前記SMSメッセージで特定される前記端末固有情報と、前記アプリケーションが認証要求送信時に生成した前記端末固有情報とが一致するか否か判定する処理を実行可能とさせる、請求項3に記載のサーバ装置。
  5. 前記認証要求の受信から一定の期間を経過した認証要求ログを削除する認証要求ログ管理部
    をさらに備える、請求項1から4のいずれか一項に記載のサーバ装置。
  6. ゲートウェイ装置及び携帯端末と通信可能に接続される1又は複数のコンピュータが、
    携帯端末の電話番号を記憶部に記憶する工程と、
    携帯端末のアプリケーションから当該携帯端末に固有な端末固有情報を含む認証要求を受信して、前記端末固有情報に基づいて認証要求ログを生成する工程と、
    前記携帯端末から前記ゲートウェイ装置に送信されたSMSメッセージに含まれる認証情報を前記ゲートウェイ装置から受信して、受信した前記認証情報から端末固有情報を取得する工程であって、前記認証情報は、前記端末固有情報及びSMS発信元電話番号を含む、工程と、
    前記SMS発信元電話番号が前記記憶部に存在するか否かを判定する工程と、
    前記認証情報に含まれる前記端末固有情報に関する認証要求ログが存在するか否かを判定する工程と、
    前記SMS発信元電話番号が前記記憶部に存在し、前記認証情報に含まれる前記端末固有情報に関する認証要求ログが存在する場合、前記端末固有情報を、前記記憶部の前記電話番号に紐付けて格納する工程と
    を含む方法。
  7. サーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末に、
    当該携帯端末に固有な端末固有情報を生成する工程と、
    SMSメッセージを前記ゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動する工程と、
    前記端末固有情報を本文に含むSMSメッセージを生成する工程と、
    前記SMSアプリケーションが所定の条件下で前記SMSメッセージを送信した場合、
    前記端末固有情報を含む認証要求を前記サーバ装置に送信する工程と
    を実行させるプログラム。
  8. 前記携帯端末に、
    前記端末固有情報を含むURLスキームが選択されることに応答して、当該プログラムを起動する工程と、
    前記URLスキームに含まれる前記端末固有情報を用いた処理を実行する工程と
    をさらに実行させる、請求項7に記載のプログラム。
  9. サーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末が、
    当該携帯端末に固有な端末固有情報を生成する工程と、
    SMSメッセージを前記ゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動する工程と、
    前記端末固有情報を本文に含むSMSメッセージを生成する工程と、
    前記SMSアプリケーションが所定の条件下で前記SMSメッセージを送信した場合、
    前記端末固有情報を含む認証要求を前記サーバ装置に送信する工程と
    を含む方法。
  10. サーバ装置及びゲートウェイ装置と通信可能に接続される携帯端末であって、
    当該携帯端末に固有な端末固有情報を生成して、当該端末固有情報を含む認証要求を前記サーバ装置に送信する認証要求送信部であって、SMSメッセージを前記ゲートウェイ装置に送信するために当該携帯端末のSMSアプリケーションを起動して、前記端末固有情報を本文に含むSMSメッセージを生成し、前記SMSアプリケーションが所定の条件下で前記SMSメッセージを送信した場合、前記認証要求を前記サーバ装置に送信する、認証要求送信部
    を備える携帯端末。
JP2017009150A 2017-01-23 2017-01-23 認証システム、認証方法及びプログラム Active JP6259536B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017009150A JP6259536B1 (ja) 2017-01-23 2017-01-23 認証システム、認証方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017009150A JP6259536B1 (ja) 2017-01-23 2017-01-23 認証システム、認証方法及びプログラム

Publications (2)

Publication Number Publication Date
JP6259536B1 JP6259536B1 (ja) 2018-01-10
JP2018121099A true JP2018121099A (ja) 2018-08-02

Family

ID=60940255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017009150A Active JP6259536B1 (ja) 2017-01-23 2017-01-23 認証システム、認証方法及びプログラム

Country Status (1)

Country Link
JP (1) JP6259536B1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020067387A1 (ja) * 2018-09-28 2020-04-02 Kddi株式会社 携帯端末、情報管理装置、通信装置、及び中継装置
JP2020052874A (ja) * 2018-09-28 2020-04-02 Kddi株式会社 携帯端末、システム、アクセス方法、およびプログラム
JP2021125812A (ja) * 2020-02-06 2021-08-30 株式会社リンクス 管理システム及び管理方法
JP7202500B1 (ja) 2022-08-30 2023-01-11 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP7247416B1 (ja) 2022-08-30 2023-03-28 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP7271779B1 (ja) 2022-08-30 2023-05-11 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7097710B2 (ja) * 2018-02-06 2022-07-08 playground株式会社 チケット管理サーバ及びプログラム
JP7200754B2 (ja) * 2019-03-01 2023-01-10 株式会社Ihi サーバ装置、端末装置、認証システム及び認証方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0639018A3 (en) * 1993-07-16 1995-08-02 At & T Corp Time sensitive notification.
GB2340344A (en) * 1998-07-29 2000-02-16 Nokia Mobile Phones Ltd Bilateral Data Transfer Verification for Programming a Cellular Phone
EP1985132A4 (en) * 2006-02-13 2010-11-03 Jacob Weitman PROCESS AND MEANS OF DELIVERY, HANDLING AND USE OF CODED INFORMATION
CN102638797B (zh) * 2012-04-24 2016-08-03 华为技术有限公司 接入无线网络的方法、终端、接入网节点和鉴权服务器
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
JP2016158049A (ja) * 2015-02-24 2016-09-01 株式会社リンクス 窓口電話番号にかかってくる電話に係員が応答して通話内容に基づく確認文書を作成して相手に知らせるコンピューティング

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020067387A1 (ja) * 2018-09-28 2020-04-02 Kddi株式会社 携帯端末、情報管理装置、通信装置、及び中継装置
JP2020052874A (ja) * 2018-09-28 2020-04-02 Kddi株式会社 携帯端末、システム、アクセス方法、およびプログラム
JP2021153316A (ja) * 2018-09-28 2021-09-30 Kddi株式会社 携帯端末、システム、アクセス方法、およびプログラム
US11636087B2 (en) 2018-09-28 2023-04-25 Kddi Corporation Mobile terminal, information management device, communication device, and relay device
JP2021125812A (ja) * 2020-02-06 2021-08-30 株式会社リンクス 管理システム及び管理方法
JP7393962B2 (ja) 2020-02-06 2023-12-07 株式会社リンクス 管理システム及び管理方法
JP7202500B1 (ja) 2022-08-30 2023-01-11 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP7247416B1 (ja) 2022-08-30 2023-03-28 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP7271779B1 (ja) 2022-08-30 2023-05-11 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP2024035016A (ja) * 2022-08-30 2024-03-13 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP2024035015A (ja) * 2022-08-30 2024-03-13 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム
JP2024033200A (ja) * 2022-08-30 2024-03-13 PayPay株式会社 情報処理装置、情報処理方法、およびプログラム

Also Published As

Publication number Publication date
JP6259536B1 (ja) 2018-01-10

Similar Documents

Publication Publication Date Title
JP6259536B1 (ja) 認証システム、認証方法及びプログラム
US11277400B2 (en) Reminder terminal apparatus and authentication method
EP3700161B1 (en) Secure messaging
US11838289B2 (en) Systems and methods for activating an authentication token within a communication platform
US20160197914A1 (en) System and method for converting one-time passcodes to app-based authentication
EP2657871A2 (en) Secure configuration of mobile application
JPWO2007110951A1 (ja) ユーザ確認装置、方法及びプログラム
JP2014529837A (ja) 身分認証管理装置及びその方法
US11611551B2 (en) Authenticate a first device based on a push message to a second device
JP7079528B2 (ja) サービス提供システム及びサービス提供方法
EP1830296A1 (en) Portable telephone and program for sending and receiving encrypted electronic mail
JP5894956B2 (ja) 画像形成装置、サーバー及び文書印刷管理システム
EP3093785B1 (en) Data transmission system, data transmission apparatus, data transmission method, and program
JP5005394B2 (ja) メールサーバアクセス方法及び電子メールシステム
JP2009003700A (ja) アプリケーション所定処理許可プログラム
JP2009181396A (ja) ユーザ認証システム及びその方法
JP2005199627A (ja) 機密印刷データの出力認証機能を有する画像処理装置
JP2006215761A (ja) 身分証明データ管理装置及びこれを用いた身分照会システム、身分照会方法、身分照会用プログラム
JP2020091674A (ja) 仮想通貨提供システム、方法及びプログラム
JP7051930B2 (ja) 情報処理システム、情報処理装置、及び情報処理方法
JP2019211867A (ja) コンピュータプログラム及びメッセージ送信方法
KR102291942B1 (ko) 다차원 바코드 기반 임시 백업 otp 저장 방법
CN113645239B (zh) 一种应用登录方法、装置、用户终端及存储介质
KR20130113910A (ko) 접속 인증정보를 보호하는 장치 및 방법
JP2007257159A (ja) 会員カード発行システム、会員カード発行サーバ、及び会員カード発行方法

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170628

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20171019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171208

R150 Certificate of patent or registration of utility model

Ref document number: 6259536

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250